公开(公告)号：CN105117647A

公开(公告)日：2015-12-02

申请号：CN201510504639.8

申请日：2015-08-18

Applicant: 国家计算机网络与信息安全管理中心广东分中心

Inventor： 梁斌 ,  宋苑 ,  王宜阳 ,  李佳 ,  吕华意 ,  李君生

IPC: G06F21/55 ,  G06F21/56

CPC classification number: G06F21/552 ,  G06F21/566

Abstract: 本发明公开了一种木马行为还原方法，其在网络中设置入侵检测系统与数据出口和入口连接，入侵检测系统以木马上传和下载文件操作的网络特征来对数据出口发来的数据进行过滤，对包含相应特征的数据，复制木马命令和文件内容，并将木马命令及文件内容存储入到系统的数据库中。所述的木马行为还原方法，通过读取数据库可方便的还原木马所进行的操作，以及所操作的文件。从而能稳定实用地将通过木马实现的文件窃取行为截获，并详尽记录所有得到的细节，备工作人员随时查询调阅。